Accueil > Alertes CERT-MC > AVIS CERTFR - 2021 - AVI - 017

AVIS CERTFR - 2021 - AVI - 017

Objet : Multiples vulnérabilités dans les produits SAP

Référence : CERTFR-2021-AVI-017

Risque(s)

- Exécution de code arbitraire à distance
- Déni de service à distance
- Contournement de la politique de sécurité
- Atteinte à l'intégrité des données
- Atteinte à la confidentialité des données
- Élévation de privilèges
- Injection de code indirecte à distance (XSS)

Systèmes affectés

- SAP Business Client versions antérieures à 6.5
- SAP Business Warehouse versions antérieures à 710, 711, 730, 731, 740, 750, 751, 752, 753, 754, 755 et 782
- SAP Business Warehouse versions antérieures à 700, 701, 702, 711, 730, 731, 740, 750 et 782
- SAP BW4HANA versions antérieures à 100 et 200
- SAP Business Warehouse versions antérieures à 700, 701, 702, 731, 740, 750, 751, 752, 753, 754, 755 et 782
- SAP BW4HANA versions antérieures à 100 et 200
- SAP NetWeaver AS JAVA versions antérieures à 7.20, 7.30, 7.31, 7.40 et 7.50
- SAP NetWeaver AS ABAP versions antérieures à 740, 750, 751, 752, 753, 754 et 755
- Automated Note Search Tool (SAP Basis) versions antérieures à 7.0, 7.01,7.02, 7.31, 7.4, 7.5, 7.51, 7.52, 7.53 et 7.54
- SAP NetWeaver AS Java (HTTP Service) versions antérieures à 7.10, 7.11, 7.20, 7.30, 7.31, 7.40 et 7.50
- SAP Commerce Cloud versions antérieures à 1808, 1811, 1905, 2005 et 2011
- SAP BusinessObjects Business Intelligence platform (Web Intelligence HTML interface) versions antérieures à 410 et 420
- SAP Master Data Governance versions antérieures à 748, 749, 750, 751, 752, 800, 801, 802, 803 et 804
- SAP NetWeaver AS JAVA (Key Storage Service) versions antérieures à 7.10, 7.11, 7.20 ,7.30, 7.31, 7.40 et 7.50
- SAP GUI FOR WINDOWS versions antérieures à 7.60
- SAP NetWeaver Master Data Management versions antérieures à 7.10, 7.10.750 et 710
- SAP 3D Visual Enterprise Viewer versions antérieures à 9.0
- SAP Banking Services (Generic Market Data) versions antérieures à 400, 450 et 500
- SAP EPM ADD-IN versions antérieures à 2.8 et 1010

Résumé

De multiples vulnérabilités ont été découvertes dans les produits SAP. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et un contournement de la politique de sécurité.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

- Bulletin de sécurité SAP du 12 janvier 2021
https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=564760476
- Référence CVE CVE-2021-21465
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21465
- Référence CVE CVE-2021-21468
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21468
- Référence CVE CVE-2021-21466
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21466
- Référence CVE CVE-2020-26838
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-26838
- Référence CVE CVE-2020-26820
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-26820
- Référence CVE CVE-2021-21446
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21446
- Référence CVE CVE-2020-6307
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-6307
- Référence CVE CVE-2020-6224
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-6224
- Référence CVE CVE-2021-21445
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21445
- Référence CVE CVE-2021-21447
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21447
- Référence CVE CVE-2020-6256
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-6256
- Référence CVE CVE-2020-26816
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-26816
- Référence CVE CVE-2021-21448
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21448
- Référence CVE CVE-2021-21469
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21469
- Référence CVE CVE-2021-21449
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21449
- Référence CVE CVE-2021-21457
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21457
- Référence CVE CVE-2021-21458
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21458
- Référence CVE CVE-2021-21459
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21459
- Référence CVE CVE-2021-21450
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21450
- Référence CVE CVE-2021-21451
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21451
- Référence CVE CVE-2021-21452
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21452
- Référence CVE CVE-2021-21453
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21453
- Référence CVE CVE-2021-21454
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21454
- Référence CVE CVE-2021-21455
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21455
- Référence CVE CVE-2021-21456
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21456
- Référence CVE CVE-2021-21460
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21460
- Référence CVE CVE-2021-21461
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21461
- Référence CVE CVE-2021-21462
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21462
- Référence CVE CVE-2021-21463
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21463
- Référence CVE CVE-2021-21464
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21464
- Référence CVE CVE-2021-21467
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21467
- Référence CVE CVE-2021-21470
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21470

Dernière version du document

https://www.cert.ssi.gouv.fr/avis/CERTFR-2021-AVI-017/

AVIS CERTFR - 2021 - AVI - 039

18 janvier 2021
actualite

Objet : Vulnérabilité dans Juniper Junos OSRéférence : CERTFR-2021-AVI-39Risque(s)- Atteinte à la confidentialité des donnéesSystèmes affectés - Ju... Lire la suite[+]

AVIS CERTFR - 2021 - AVI - 038

15 janvier 2021
actualite

Objet : Multiples vulnérabilités dans Juniper Junos OSRéférence : CERTFR-2021-AVI-038Risque(s)- Élévation de privilègesSystèmes affectés- Junos OS... Lire la suite[+]

Contact

Agence Monégasque de Sécurité Numérique
24 rue du Gabian 
98000 MONACO

AMSN_contact@gouv.mc

Téléphone : (+377) 98 98 24 93
Bouton Alertes CSIRT-MC OIV
//amsn.gouv.mc/Alertes-CERT-MC/AVIS-CERTFR-2021-AVI-017